Clelia Santambrogio, CWV – @bella_ctj

En el marco del evento CA Expo Colombia 2012, llevado a cabo en Bogotá, conversamos con Marcio Lebrao (M.L.) vicepresidente de Seguridad para Latinoamérica de CA Technologies, quien nos dibujó un panorama de lo que propone su compañía en este tópico.

CWV: ¿Cómo ha evolucionado la seguridad informática dentro de las empresas. Cómo era antes, cómo es hoy, qué hace CA Technologies al respecto?
M.L.: La seguridad en los años pasados era vista como un mal necesario para las compañías porque eran básicamente estructuras que le decían “no” a las diversas áreas de negocios. “No se puede hacer esto porque atenta con la seguridad” era una frase común y había una serie de reglas que existían con las que se debía de lidiar. Hoy la visión es distinta, la seguridad está y así lo ve CA: permitir que los negocios se desarrollen de una forma segura, nuestra misión es hacer que efectivamente todos los clientes se puedan conectar a los sistemas de los empleados,  pero siempre garantizando que sea de manera segura.

CWV: ¿Cuál es la estrategia de Seguridad de CA Technologies?
M.L.: Hay muchas compañías de seguridad que están trabajando en este tema pero con focos distintos. CA trabaja en seguridad siempre con un enfoque principal basado en la Identidad y esta es nuestra diferencia. Antes era fácil manejar el tema de seguridad porque teníamos un firewall, era más sencillo, pero hoy no. Las personas utilizan sistemas corporativos tanto desde adentro y desde afuera de su empresa, en la nube, existe una necesidad del negocio de que todos accedan a los datos. La diferencia nuestra es que manejamos seguridad basada en Identidad y siempre estamos muy comprometidos con la misma, con el acceso a las informaciones y con el contenido que muchas veces no está tratado con tanta importancia por otras compañías de seguridad. Entonces manejamos seguridad, manejamos el control de acceso, manejamos la autenticación del usuario para estar seguro de que simplemente es un usuario que está accediendo a un determinado sistema y es quién dice ser, pero también, estamos muy preocupados por el contenido que está dentro de la organización, quién va a acceder a esos datos y cuál es la utilización que se va a hacer con los mismos. Este tipo de preocupación está presente en nuestra estrategia de productos.

CWV: ¿Cómo observa el movimiento en cuanto a la seguridad en las empresas de la Región. Están conscientes, están tomando medidas?
M.L: Absolutamente si están asumiendo el tema de seguridad. CA tiene hoy mucha fuerza dentro de la Región. Yo trabajo con seguridad desde hace muchos años y antes teníamos que vender el concepto de seguridad, en especial, a las empresas pequeñas. Hoy las corporaciones están trabajando de forma fuerte en la región NOLA (Norte de América Latina, América Central y El Caribe), están muy desarrollados y conscientes de la necesidad de estar protegidas. Todos conocen bien el concepto de identidad, de la necesidad de control de acceso, de manejar o restringir a usuarios privilegiados, entre otros. Hay usuarios que tienen muchos privilegios y pueden hacer casi todo dentro de la empresa y para eso hay que ofrecer herramientas para minimizar o para hacer que la utilización de esos datos sea para la función que debería ser. Estos conceptos ya están siendo asimilados en Latinoamérica.

CWV: Hablemos de los riesgos.
M.L: Los riesgos son muy comunes a todos los países y en todo tipo de empresas. Hoy tenemos clientes que son grandes bancos pero también tenemos retail y clientes de gobierno y estos tipos de empresas están bastante preocupadas con el tema de seguridad y todas están trabajando en este sentido. Hay muchos riesgos. La fuga o perdida de información es la más común y la pérdida de datos definitivamente se traduce como la pérdida de la imagen de la compañía.

Hay muchos bancos y empresas de e-commerce que trabajan en línea y estas empresas deben saber si la persona que está haciendo la operación bancaria es la persona que dice ser y nosotros contamos con tecnologías bancarias de autenticación y evaluación del riesgo que permiten o no que esta persona haga esta operación. Los fraudes bancarios ocurren a menudo y CA tiene las herramientas para que esto no ocurra.

CWV: Hablando de bancos. ¿Cómo están protegidos hoy los bancos de la Región. Qué le están ofreciendo en cuanto a herramientas?
M.L.: Actualmente los bancos pagan por los fraudes que le hacen a sus clientes y esto causa lógicamente mucha pérdida financiera. Es mucho más grande la pérdida por fraude en Internet que el mismo robo físico de un banco y lo que están haciendo es tomar providencias para que estén seguros y minimicen los riesgos de estas operaciones.

Una de las cosas que estamos trabajando con los bancos es la parte de autenticación y evaluación del riesgo. Por ejemplo, si un  cliente hace a menudo una operación bancaria desde un laptop y desde su casa, en teoría no hay riesgos, transfiere dinero y lo único que necesita es una autenticación sencilla que es una pregunta, una respuesta o un pin. Pero vamos a imaginar que alguien está tratando de acceder a esta cuenta pero no desde la casa del sujeto, sino desde una ciudad en Polonia, en un cibercafé y tratando de transferir US$10 mil.  Como es lógico, los patrones de acceso a esta cuenta no son los mismos, el riesgo es muy grande y la tecnología comienza a certificar, a hacer preguntas para tener la certeza absoluta de que es la persona quién dice ser. Aquí no es la autenticación sino la evaluación del riesgo para la confirmación de la operación. Esto es valioso para bancos, para retail y para otros tipos de clientes. Entonces cuando los bancos adoptan tecnologías como estas, ya no tendrán que hacer reembolsos para sus clientes y están seguras.

CWV: ¿Y la seguridad hoy con el tema de la nube y nuevos dispositivos como las tabletas?
M.L.: Existen muchas corporaciones que están implementando sistemas en la nube y muchas que adoptan sistemas híbridos. Normalmente las informaciones  críticas están en su interior, pero muchas operaciones para clientes, partners o proveedores, ya están en aplicaciones en la nube porque es más fácil, más rápido de implementar, es una operación más ágil y económicamente más efectiva que implementar algo interno. No es una regla, es lo que vemos en el mercado. En lo que se refiere a los dispositivos, el perímetro no existe más, muchas personas llevan a su lugar de trabajo sus propios dispositivos y quieren acceder a sistemas corporativos. Lo más fácil es decir no se puede, pero hoy la visión de seguridad es que sí se puede  y allí tomamos las precauciones debidas para permitir que estos usuarios puedan acceder a estas informaciones. Los CEOs tienen que entregar esta posibilidad y garantizar la seguridad, se necesita entregar el sistema pero se tiene que estar seguro. Es una balanza.

CWV: Usted como experto en Seguridad Informática. ¿Qué hace falta para que una empresa esté verdaderamente segura. Qué aconseja?
M.L. Nuestra visión es que hay herramientas que son necesarias. Las amenazas son de ambas partes. Muchas veces vienen desde adentro de la empresa como la  pérdida de información. Trabajamos fuertemente con el tema de Identidad y hay que tener en cuenta que es importante darle a un empleado todo el provisionamiento necesario cuando llega a una empresa: se le integra a los sistemas, se le crea una cuenta de email, etc. Pero es cuando se va de la compañía que es más importante el asunto, porque su cuenta no debe quedar abierta y es una puerta de entrada importante para la fuga de información. El tema de Identidad es fundamental.

CWV: De aquí a algunos años más ¿qué tendremos en el tema de seguridad informática?
M.L: Muchas de las tendencias están enfocadas a la seguridad en dispositivos móviles. Es el futuro todo tendrá que ver con la movilidad. Hoy hay herramientas pero no son suficientes y todavía los ataques a los equipos móviles no son muy comunes. Pero pronto veremos cómo las tabletas serán atacadas y podremos dentro de poco,  utilizar nuestro teléfono como tarjeta de crédito a la hora de comprar en una tienda y las herramientas de seguridad estará allí para proteger estos dispositivos y estas transacciones.